답변:
예,으로 할 수 있습니다 pam_access.so
. 이 레시피는 Google OTP 의 위키 에서 가져 왔습니다 .
유용한 PAM 레시피는 연결이 특정 소스에서 시작될 때 2 단계 인증을 건너 뛸 수 있도록하는 것입니다. 이것은 이미 PAM에서 지원합니다. 예를 들어, pam_access 모듈을 사용하여 로컬 서브넷과 비교하여 소스를 확인할 수 있습니다.
# skip one-time password if logging in from the local network auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth required pam_google_authenticator.so
이 경우 access-local.conf는 다음과 같습니다.
# only allow from local IP range + : ALL : 10.0.0.0/24 + : ALL : LOCAL - : ALL : ALL
따라서 10.0.0.0/24의 로그인 시도에는 이중 인증이 필요하지 않습니다.
AuthenticationMethods publickey,keyboard-interactive
에서 사용했기 때문에 알아 냈습니다 /etc/ssh/sshd_config
. 그래서 수정하기 위해 다음을 변경했습니다.auth [success=done default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
auth optional pam_google_authenticator.so nullok